Microsoft detecta phishing de la pàgina d'autenticació Office 365

Microsoft ha comunicat una campanya de phishing a gran escala que es va dirigir a més de 10.000 organitzacions des de setembre de 2021 atacant el procés d' autenticació d'Office 365 fins i tot en comptes assegurats amb autenticació de múltiples factors (MFA).

Atacs de phishing contra més de 10.000 organitzacions

Els atacants van utilitzar les credencials robades i les cookies de sessió per accedir a les bústies dels usuaris afectats i dur a terme campanyes d'espionatge del correu electrònic dels seus objectius.

Descripció general de la campanya de phishing AiTM i BEC de seguiment

Les intrusions implicaven la creació de llocs de phishing del tipus “adversary-in-the-middle” (AitM, per les sigles en anglès), en què l'atacant desplega un servidor intermediari entre una víctima potencial i el lloc web objectiu perquè els destinataris d'un correu electrònic de pesca siguin redirigits a pàgines semblants dissenyades per capturar credencials i informació MFA.

La pàgina de phishing té dues sessions diferents de seguretat de la capa de transport (TLS): una amb l'objectiu i una altra amb el lloc web real al qual l'objectiu vol accedir.

Aquestes sessions signifiquen que la pàgina de phishing funciona pràcticament com un agent AitM, interceptant tot el procés d'autenticació i extraient dades valuoses de les peticions HTTP, com a contrasenyes i, el que és més important, cookies de sessió.

La campanya de phishing detectada per Microsoft va ser organitzada per identificar els usuaris de l'Office 365 mitjançant la suplantació de la pàgina de autenticació en línia de l'Office. Els actors van utilitzar el kit de phishing Evilginx2 per dur a terme els atacs.

Procés de phishing d'AiTM

Els atacs no van acabar aquí, ja que els atacants van abusar del seu accés a la bústia de correu per fer fraus de pagament utilitzant una tècnica anomenada “email thread hijacking” per enganyar les parts a l'altre extrem de la conversa per transferir il·lícitament fons a comptes sota el seu control.

Comparteix aquest contingut:

Deixa un comentari

Calendari ciberseguretat /24

LIVE WEBINAR | 1/2/2024

Com protegir el teu Active Directory d'atacs Ransomware amb Tenable

Alertes de seguretat

Estigues informat, rep-les al teu email
Consulta les últimes alertes